How Safe is Your Android Pin Code? A New Robot Can Easily Break In

      No Comments on How Safe is Your Android Pin Code? A New Robot Can Easily Break In

By now, many smartphone users know that a first step to securing their mobile data is to lock their phones with some sort of passcode, the most common method being the four-digit PIN. Admittedly, a PIN code seems pretty safe and practically impossible for a human to break—considering the time it would take to manually Read more…

Linux Trojan “Hand of Thief” ungloved

      No Comments on Linux Trojan “Hand of Thief” ungloved

A new threat for the Linux platform was first mentioned on August 7th by RSA researchers, where it was dubbed Hand of Thief.  The two main capabilities of this Trojan are form-grabbing of Linux-specific browsers and entering a victim’s computer by a back-door. Moreover, it is empowered with features like anti-virtualization and anti-monitoring. With the […]

How to use the hidden power of avast! Mobile Security

      No Comments on How to use the hidden power of avast! Mobile Security

You have downloaded the new avast! Mobile Security version 3. You now have a powerful tool to protect your mobile phone from malware, as well as anti-theft features in case your phone is lost or stolen. But you may be wondering, “How do I use this mobile security software to its full power for maximum […]

Win a Nexus device from AVAST and Android Police!

      No Comments on Win a Nexus device from AVAST and Android Police!

To celebrate the new version of our top-rated avast! Mobile Security along with the new avast! Mobile Premium, AVAST and Android Police are giving away 9 new Nexus devices. You have one week to enter the contest to win one of these great Android phones or tablets: 2x Nexus 4 8GB 2x Nexus 4 16GB + bumpers + charging orb (2 bundles) […]

Changeup ??????

      No Comments on Changeup ??????

シマンテックは長い間、W32.Changeup シリーズのワームに対する取り組みを続けており、このブログでも今までに何度となくお伝えしてきました(参照 1参照 2)。
 

image1_10.png

図 1. W32.Changeup.C の発生状況
 

W32.Changeup は Microsoft Visual Basic 6.0 で記述されており、そのプログラムコードのうち感染機能を担う部分が、不明瞭化されてはいるものの、プログラムファイル中で見えているという特徴があります。ところが、W32.Changeup の歴史で初めて、ファイルのプログラムコード中で感染機能の部分が見えない新しい亜種が発見されました。

プログラムファイルはネイティブコード(Intel X86 のコード)で作成されており、起動オブジェクトは ‘Form605’ に設定されています。
 

image2_5.png

図 2. X86 命令で書かれたプログラムファイルの起動コードが見える
 

このコードを実行すると、一度プログラムが実行されたメモリは完全に上書きされます。
 

image3_5.png

図 3. プログラム中の起動コードがメモリに
 

置き換えられるプログラムも Visual Basic 6.0 で作成されていますが、これは P コード(擬似コード)で作成されており、起動オブジェクトは ‘Sub Main’ です。

メモリ上のプログラムは純粋な W32.Changeup であり、不明瞭化されていません。接続先のドメイン名を除いて文字列はまったく暗号化されておらず、冗長な文字列連結もありません。
 

image4_1.png

図 4. ベア文字列がグローバル変数文字列 Me(204) と Me(860) にコピーされる
 

この例でグローバル変数にコピーされるのは、’connect’ と ‘CreateToolhelp32Snapshot’ というベア文字列です。このような純粋な形の W32.Changeup は、長らくお目に掛かっていません。作成者は、プログラムファイルで見えなくなるので、もう文字列を隠す必要もないと考えたようです。もちろん、冗長な文字列結合や無意味な API 呼び出しなど、他の不明瞭化方法もメモリ上では必要ありません。

W32.Changeup は以前と同じように機能しますが、ポリモーフィズムに関しては例外です。1 つ前の世代の W32.Changeup は強力なポリモーフィズムの機能を備えていました。ダミーのフォーム名などとして使われる 3 つのランダムな文字列を置き換え、プログラムファイル中では新しいランダムな文字列で出現するため、複数の相違がある新しいファイルが生成されていました。たとえば、Visual Basic のフォームとモジュールを作成するそのような文字列がどこに置かれていても、この置き換えはファイルに影響します。ウイルス定義でこのような可変文字列を網羅したとしても、サンプルから派生した亜種を検出することはできません。セキュリティの専門家がポリモーフィックワームに特に注目してきたのも、これが理由です。

最新版の W32.Changeup は、この強力なポリモーフィズム機能を捨て去っています。自身をコピーするときに、文書ファイルや画像、動画に偽装するために、プログラムファイルの resource セクションでアイコンを変更するだけです。
 

image5_2.png

図 5. W32.Changeup が偽装のために使うアイコン(低画質である点に注意)
 

シマンテックは、これらのファイルを W32.Changeup!gen44 として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Teaching Kids to Be Bold About Their Privacy

      No Comments on Teaching Kids to Be Bold About Their Privacy

Recently one of my daughter’s friends shared a silly (and unflattering) video of her on Snap Chat as she imitated a crazy dance they were both watching on a popular TV talent show. When my daughter told the friend “you better not post that!” the request was ignored. The 10-second video was sent to several Read more…

avast! Mobile Premium: The Ultimate in Mobile Security

      No Comments on avast! Mobile Premium: The Ultimate in Mobile Security

More than 25 million Android smartphone and tablet users protect their precious devices with AVAST’s free security app. Today, we are happy to provide even more awesome features in our new premium version, avast! Mobile Premium. The security of data on mobile devices is a growing concern. Over a quarter (26%) of mobile phone owners […]

Windows ???????????????????????

      No Comments on Windows ???????????????????????

ランサムウェアは全世界で問題になっていますが、中国語で書かれたものはあまり例がありません。最近、シマンテックセキュリティレスポンスは新しいタイプの Ransomlock マルウェアを発見しました。中国から発信されているという点で新しいだけでなく、コンピュータのロックを解除するためにユーザーに支払いを強要するときにも新しい手口が使われています。

このマルウェアは簡易プログラミング言語で書かれており、大部分は中国語インスタントメッセージの大手プロバイダを通じて拡散しています。コンピュータが感染すると、このマルウェアは現在のユーザーのログイン情報を変更し、新しいログイン情報でシステムを再起動します。ログインパスワードは「tan123456789」に書き換えられますが(これは、シマンテックが確保したサンプルにハードコードされていました)、作成者がマルウェアを更新すれば、パスワードも更新される可能性があります。アカウント名は「パスワードを知りたかったら [IM アカウントユーザー ID] にアクセス」という内容の言葉に変更されます。コンピュータを再起動するとユーザーはログインできなくなり、このアカウント名(メッセージ)が表示されて、新しいパスワードを入手するにはこのユーザー ID にアクセスするようにと指示されます。

Figure1_Edit.png

図 1. システムの再起動後にアカウント名が変更されたログイン画面

指定されたユーザー ID にアクセスすると、これはほぼ間違いなくマルウェアの作成者であり、そのプロフィールページにおよそ 20 元(約 320 円)を要求するメッセージが表示されています。メッセージには、送金を受け取りしだいログインパスワードを送信するという内容に加え、マルウェアの作成者を通報したりした場合にはユーザーは遮断されるとも書かれています。

シマンテックは、この脅威を Trojan.Ransomlock.AF として検出します。この脅威にすでに感染してしまった場合には、システムアクセスを回復する方法がいくつかあります。

  1. パスワード「tan123456789」を使ってシステムにログインし、パスワードをリセットする(すでに述べたように、マルウェアの作成者がパスワードを変更する可能性があるため、この方法は必ずしも有効とは限らない)。
  2. 別の管理者アカウントを使ってシステムにログインし、パスワードをリセットする。
  3. 現在のアカウントがスーパー管理者のアカウントでない場合は、セーフモードで起動してスーパー管理者としてログインし、パスワードをリセットする。
  4. Windows リカバリディスクを使ってパスワードをリセットする。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。